# DeFiセキュリティインシデントレビュー:2022年の主なケーススタディ2022年のブロックチェーン分野では、300件以上のセキュリティ事件が発生し、金額は最大で430億ドルに達しました。本稿では、これらのケースの中で損失額が1億ドルを超える8つの典型的な事例を詳細に分析します。! [Cobo DeFiセキュリティクラスI:2022年DeFiセキュリティイベントのレビュー](https://img-cdn.gateio.im/social/moments-ee2c5a9e945ca0082dc90fe3e334f49e)## ロニンブリッジ2022年3月23日、Axie InfinityのサイドチェーンであるRonin Networkが侵害され、173,600ETHと2,550万米ドル、総額約5億9,000万ドルが盗まれました。攻撃者はソーシャルエンジニアリングの手法を使ってRoninネットワークの5つの検証ノードを制御し、ネットワークの支配を実現しました。この攻撃手法はAPT(高度な持続的脅威)と呼ばれ、ハッカーはまず内部のコンピュータを制御して踏み台とし、さらにシステム全体に侵入します。この事件は、Axie Infinity社の従業員の安全意識が薄弱であり、会社内部の安全システムに欠陥があることを暴露しました。## ワームホールWormholeクロスチェーンブリッジが攻撃を受け、約12万ETHが失われました。問題は、Solana側のコア契約の署名検証コードにエラーがあり、攻撃者が"ガーディアン"メッセージを偽造してWormholeで包装されたETHを鋳造できることを許可していました。この問題は主にいくつかの廃止された関数を使用したために発生しています。開発者には、同様の問題を避けるために最新のコードベースを使用することをお勧めします。## ノマドブリッジNomadブリッジは初期設定の問題により、攻撃者が任意のメッセージを構築してブリッジから資金を盗むことができ、合計で約1.9億ドルの損失を被りました。攻撃者はこの脆弱性を利用して、構築された取引データを繰り返し送信し、クロスチェーンブリッジにロックされた資金を抽出しました。大量のMEVロボットもこの「金を奪う」事件に参加しました。このケースは、オープンソースプロジェクトに脆弱性が現れると、攻撃者に利用されやすいことを明らかにしています。プロジェクトチームはコードのセキュリティ問題をより慎重に扱う必要があります。## ビーンスタックアルゴリズムステーブルコインプロジェクトBeanstalk Farmsがフラッシュローン攻撃を受け、約1.82億ドルの損失が発生しました。攻撃者はプロジェクトのガバナンスメカニズムの脆弱性を利用しました: 提案の投票と実行の間に時間の間隔がありません。攻撃者はフラッシュローンを通じて大量のトークンを取得し、悪意のある提案を投票で通過させ、即座に実行しました。この事例は、分散型治理メカニズムがより多くのセキュリティ考慮を必要とすることを反映しており、例えばタイムロックの設定などがあります。## ウィンターミュートマーケットメーカーのWintermuteは、脆弱なニックネーム生成ツールであるProfanityを使用したため、ある契約のオーナーの秘密鍵がハッキングされ、約1.6億ドルの損失を被りました。これは、オープンソースツールを使用する際には十分なセキュリティ評価を行う必要があることを思い出させます。## ハーモニーブリッジHarmonyのHorizonクロスチェーンブリッジが攻撃され、1億ドル以上の損失が発生しました。報道によると、疑わしい北朝鮮のハッカー集団Lazarus Groupによるものとされています。これにより、クロスチェーンブリッジのセキュリティリスクと、一部の国家レベルのハッカー組織がブロックチェーンプロジェクトに対してもたらす脅威が再び浮き彫りになりました。## アンクルAnkrプロジェクトは内部の人物による悪行のため、1兆枚のaBNBcが無から鋳造され、深刻な結果を招いた。これは、プロジェクトの内部権限管理に深刻な問題があることを反映しており、重要な操作はマルチシグウォレットなどのより安全な方法を使用すべきです。## マンゴー分散型取引プラットフォームであるMangoは、市場操作攻撃に見舞われ、約1億1,500万ドルを失いました。攻撃者はプラットフォーム上の小規模コインの流動性不足の問題を利用し、ロングとショートの両方を同時に開いたり、価格を引き上げたりする操作で利益を得ています。これはプロジェクトのビジネスモデル設計に欠陥があることを露呈しています。これらの事例は、ブロックチェーンプロジェクトがコードの安全性だけでなく、ビジネスモデルに存在する可能性のある脆弱性も十分に考慮する必要があることを思い出させてくれます。ユーザーがプロジェクトに参加する際も、リスクを包括的に評価する必要があります。! [Cobo DeFiセキュリティクラスI:2022年のDeFiセキュリティイベントのレビュー](https://img-cdn.gateio.im/social/moments-646b3144d462a0e5ced17444071f9d00)! [Cobo DeFiセキュリティクラスI:2022年DeFiセキュリティイベントのレビュー](https://img-cdn.gateio.im/social/moments-bb42708a0810f2b5c37b48aeaa2d22d0)
2022年のDeFiセキュリティインシデントトップ8の解剖学:数億ドルの損失
DeFiセキュリティインシデントレビュー:2022年の主なケーススタディ
2022年のブロックチェーン分野では、300件以上のセキュリティ事件が発生し、金額は最大で430億ドルに達しました。本稿では、これらのケースの中で損失額が1億ドルを超える8つの典型的な事例を詳細に分析します。
! Cobo DeFiセキュリティクラスI:2022年DeFiセキュリティイベントのレビュー
ロニンブリッジ
2022年3月23日、Axie InfinityのサイドチェーンであるRonin Networkが侵害され、173,600ETHと2,550万米ドル、総額約5億9,000万ドルが盗まれました。
攻撃者はソーシャルエンジニアリングの手法を使ってRoninネットワークの5つの検証ノードを制御し、ネットワークの支配を実現しました。この攻撃手法はAPT(高度な持続的脅威)と呼ばれ、ハッカーはまず内部のコンピュータを制御して踏み台とし、さらにシステム全体に侵入します。
この事件は、Axie Infinity社の従業員の安全意識が薄弱であり、会社内部の安全システムに欠陥があることを暴露しました。
ワームホール
Wormholeクロスチェーンブリッジが攻撃を受け、約12万ETHが失われました。問題は、Solana側のコア契約の署名検証コードにエラーがあり、攻撃者が"ガーディアン"メッセージを偽造してWormholeで包装されたETHを鋳造できることを許可していました。
この問題は主にいくつかの廃止された関数を使用したために発生しています。開発者には、同様の問題を避けるために最新のコードベースを使用することをお勧めします。
ノマドブリッジ
Nomadブリッジは初期設定の問題により、攻撃者が任意のメッセージを構築してブリッジから資金を盗むことができ、合計で約1.9億ドルの損失を被りました。
攻撃者はこの脆弱性を利用して、構築された取引データを繰り返し送信し、クロスチェーンブリッジにロックされた資金を抽出しました。大量のMEVロボットもこの「金を奪う」事件に参加しました。
このケースは、オープンソースプロジェクトに脆弱性が現れると、攻撃者に利用されやすいことを明らかにしています。プロジェクトチームはコードのセキュリティ問題をより慎重に扱う必要があります。
ビーンスタック
アルゴリズムステーブルコインプロジェクトBeanstalk Farmsがフラッシュローン攻撃を受け、約1.82億ドルの損失が発生しました。
攻撃者はプロジェクトのガバナンスメカニズムの脆弱性を利用しました: 提案の投票と実行の間に時間の間隔がありません。攻撃者はフラッシュローンを通じて大量のトークンを取得し、悪意のある提案を投票で通過させ、即座に実行しました。
この事例は、分散型治理メカニズムがより多くのセキュリティ考慮を必要とすることを反映しており、例えばタイムロックの設定などがあります。
ウィンターミュート
マーケットメーカーのWintermuteは、脆弱なニックネーム生成ツールであるProfanityを使用したため、ある契約のオーナーの秘密鍵がハッキングされ、約1.6億ドルの損失を被りました。
これは、オープンソースツールを使用する際には十分なセキュリティ評価を行う必要があることを思い出させます。
ハーモニーブリッジ
HarmonyのHorizonクロスチェーンブリッジが攻撃され、1億ドル以上の損失が発生しました。報道によると、疑わしい北朝鮮のハッカー集団Lazarus Groupによるものとされています。
これにより、クロスチェーンブリッジのセキュリティリスクと、一部の国家レベルのハッカー組織がブロックチェーンプロジェクトに対してもたらす脅威が再び浮き彫りになりました。
アンクル
Ankrプロジェクトは内部の人物による悪行のため、1兆枚のaBNBcが無から鋳造され、深刻な結果を招いた。
これは、プロジェクトの内部権限管理に深刻な問題があることを反映しており、重要な操作はマルチシグウォレットなどのより安全な方法を使用すべきです。
マンゴー
分散型取引プラットフォームであるMangoは、市場操作攻撃に見舞われ、約1億1,500万ドルを失いました。
攻撃者はプラットフォーム上の小規模コインの流動性不足の問題を利用し、ロングとショートの両方を同時に開いたり、価格を引き上げたりする操作で利益を得ています。これはプロジェクトのビジネスモデル設計に欠陥があることを露呈しています。
これらの事例は、ブロックチェーンプロジェクトがコードの安全性だけでなく、ビジネスモデルに存在する可能性のある脆弱性も十分に考慮する必要があることを思い出させてくれます。ユーザーがプロジェクトに参加する際も、リスクを包括的に評価する必要があります。
! Cobo DeFiセキュリティクラスI:2022年のDeFiセキュリティイベントのレビュー
! Cobo DeFiセキュリティクラスI:2022年DeFiセキュリティイベントのレビュー